최근 SSLoad 악성코드가 부상하고 있으며, 이는 이전에 알려지지 않은 PhantomLoader를 통해 유포되고 있는 것으로 확인됐다. 여러 보안 연구기관의 연구원들은 이 악성코드의 복잡성과 적응성을 공개하며 다단계 공격 전략, 회피 기술, 전 세계적인 위험성을 상세히 분석했다.
SSLoad는 올해 4월 처음으로 확인된 신종 악성코드로, 은밀한 침투와 다층 공격 벡터가 특징이다.
이 악성코드의 전달 메커니즘인 PhantomLoader는 바이너리 패칭과 자가 수정 코드를 사용하는 정교한 기술을 활용해 주로 EDR 및 안티바이러스 등 보안솔루션과 같은 합법적인 DLL 파일에 스며든다. 이러한 삽입 방식은 전통적인 탐지 방법을 회피하게 해, 침투된 시스템 내에서 악성코드를 감지하지 못하도록 한다.
공격 체인은 일반적으로 악성 자바스크립트 파일이나 매크로가 포함된 문서를 다운로드하도록 유도하는 피싱 이메일로 시작된다. 이러한 파일들은 일련의 다운로드 및 실행을 통해 SSLoad 배포로 이어진다. 이 과정은 몇 가지 주요 단계로 이루어진다.
피싱 이메일은 피해자가 자바스크립트 파일이나 매크로가 포함된 문서를 다운로드하도록 유도하며, 이를 실행하면 원격 서버에서 MSI 설치 프로그램을 가져온다.
설치 프로그램은 "slack.msi"와 같은 합법적인 애플리케이션으로 가장해 msiexec.exe를 통해 조용히 실행되며, 공격의 다음 단계로 진행된다.
C/C++로 작성된 32비트 DLL인 PhantomLoader는 360 토탈 시큐리티와 같은 안티바이러스 소프트웨어의 모듈로 위장한다.
이 로더는 자가 수정 기술과 바이너리 패칭을 사용하여 탐지를 회피하며, 합법적인 프로세스에 스며들어 보안 스캔에서 탐지되지 않도록 유지한다.
PhantomLoader에 의해 추출 및 실행되는 Rust 기반 다운로더 DLL이 주요 페이로드로서 원격 서버와 연결하여 SSLoad 주요 페이로드를 가져오며, 세부 정보는 텔레그램 채널에 암호화되어 있다.
이후 SSLoad는 다양한 명령줄 도구 및 WMI(Windows Management Instrumentation) 명령을 사용하여 시스템 정보 및 자격 증명을 수집한다.
수집된 데이터는 공격자의 C2(명령 및 제어) 서버로 전송되어, 공격자에게 침해된 환경에 대한 상세한 정보들을 제공한다.
이렇게 공격자는 수집된 정보를 사용하여 지속성을 유지하고 네트워크 내에서 횡적 이동을 시도한다. 코발트 스트라이크 및 스크린컨넥트와 같은 도구를 사용하여 추가 악성 활동을 수행하고 통제권을 유지한다.
더불어 이 악성코드는 종종 새로운 도메인 관리자 계정을 생성해 공격자에게 네트워크에 대한 광범위한 접근 권한을 부여하고 추가 페이로드 및 백도어를 실행할 수 있게 한다. SSLoad의 기술적 복잡성은 고급 회피 기술, 동적 문자열 복호화 및 안티디버깅 기능에서 알 수 있다.
PhantomLoader는 합법적인 DLL 파일에 스며들어 바이너리 수준에서 수정된다. 이 자가 수정 기능은 동적으로 코드를 변경할 수 있어 서명 기반 탐지 시스템을 더욱 회피할 수 있게 한다.
SSLoad는 암호화된 채널과 텔레그램과 같은 합법적인 서비스를 사용해 C2 서버와 통신한다. 이러한 접근 방식은 일반적으로 의심스러운 트래픽을 차단하는 네트워크 보안 조치를 우회하는 데 활용된다.
이에 보안 전문가들은, 조직이 SSLoad 및 유사한 악성코드로 인한 위협을 완화하기 위해 다음과 같은 보안 방안을 권고하고 있다.
-향상된 이메일 보안: 고급 이메일 필터링 및 피싱 탐지 도구를 사용하여 악성 이메일이 최종 사용자에게 도달하는 것을 방지해야 한다. 피싱 인식에 대한 정기적인 교육도 공격의 위험을 줄일 수 있다.
-엔드포인트 보호: 이상 징후를 탐지하기 위해 행동 분석 및 머신 러닝을 통합한 고급 엔드포인트 보호 솔루션을 사용해야 한다. 모든 보안 제품이 최신 패치로 업데이트되어 있는지 확인하면 알려진 취약점의 악용을 방지할 수 있다.
-네트워크 세그멘테이션: 네트워크를 세분화해 공격자의 횡적 이동을 제한해야 한다. 네트워크 트래픽에서 비정상적인 패턴을 모니터링하고 엄격한 접근 제어를 구현하면 초기 탐지 및 격리가 가능하다.
-정기적인 감사 및 침투 테스트: 정기적인 보안 감사 및 침투 테스트를 수행하여 잠재적 취약점을 식별하고 해결해야 한다. 관련 도구를 사용하여 공격을 시뮬레이션하면 실제 위협에 대비할 수 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★